Récemment, les médias ont rapporté que le département de cybersécurité du FBI avait acheté de grandes quantités de données internet. Ces données ont été achetées à une petite entreprise inconnue basée en Floride. Team Cymru, qui se présente comme le leader mondial du renseignement sur les cybermenaces, vend un accès au trafic en masse et informe ses clients qu'elle peut fournir une passerelle vers une « super majorité des activités sur l'internet ». Plusieurs agences fédérales leur ont déjà acheté des services dans le passé.Certains médias ont obtenu les détails du contrat passé entre le FBI et la société par le biais d'une demande au titre de la loi sur la liberté de l'information (Freedom of Information Act, FOIA). Le contrat ne donne pas beaucoup d'informations sur la raison pour laquelle le FBI a fait l'acquisition de données. Toutefois, en 2017, le gouvernement a payé un total de 76 450 dollars pour ces informations. Ce que le bureau a fait de ces informations reste un mystère. Les données en question, telles que rapportées, sont appelées données Netflow. Apparemment, ces données peuvent être utilisées pour suivre les activités des cybercriminels. Des entreprises telles que Cymru accèdent à ces données en les achetant à des fournisseurs de services. Elles les revendent ensuite aux organismes chargés de l'application de la loi.
Actuellement, le travail du FBI pour identifier et perturber les cybermenaces émanant de la Russie contre l'Ukraine, leurs alliés et leurs propres réseaux américains sont un excellent exemple de la façon dont le FBI utilise ses pouvoirs, ses capacités et ses partenariats uniques dans le cadre de la lutte mondiale contre les cyberactivités malveillantes. Lorsqu'il s'agit de perturber et de contrer la cyberactivité russe en particulier, son travail s'appuie sur les décennies d'expertise du FBI en matière de lutte contre les renseignements étrangers et les cybermenaces aux États-Unis.
Un nouveau rapport de Motherboard indique que cinq responsables des services de renseignement des États-Unis ont participé à une audition du Sénat sur les menaces mondiales. Lors de l'audience, le sénateur Ron Wyden (D - OR) aurait posé la question au directeur du FBI, Christopher Wray : « le FBI achète-t-il des informations sur la géolocalisation des téléphones des citoyens américains ? » Le directeur du FBI a répondu que son agence ne le faisait pas actuellement, mais aurait reconnu qu'elle l'avait fait par le passé. Il aurait limité sa réponse aux données que les entreprises recueillent spécifiquement à des fins publicitaires.
« À ma connaissance, nous n'achetons pas actuellement d'informations provenant de bases de données commerciales comprenant des données de localisation dérivées de la publicité sur Internet. Je crois savoir que nous avons déjà acheté de telles informations dans le cadre d'un projet pilote spécifique de sécurité nationale, mais ce projet n'est plus actif depuis un certain temps », aurait déclaré Wray. Il aurait ajouté que l'agence s'appuyait désormais sur une "procédure autorisée par un tribunal" pour obtenir des données de localisation auprès des entreprises. La réponse est imprécise et l'on ignore s'il faisait référence à un mandat ou à un autre outil juridique.
La stratégie cybernétique du FBI
En septembre 2020, le directeur Wray a annoncé la stratégie cybernétique actuelle du FBI, qui vise à imposer des risques et des conséquences aux cyberadversaires grâce à des pouvoirs uniques, des dispositions de classe mondiale et des partenariats durables, en s'appuyant sur un siècle d'innovation.
Grâce à cette stratégie, l’équipe cyber du FBI s’efforce d'augmenter les coûts pour les acteurs malveillants et leurs complices qui mènent des cyberintrusions, volent la propriété financière et intellectuelle et retiennent les infrastructures critiques en otage pour obtenir une rançon. Au cours des 18 derniers mois, cette stratégie et ses principes ont permis de réaliser des progrès significatifs dans l'avancement de son programme cybernétique et de faire en sorte qu'il soit plus difficile et plus douloureux pour les pirates informatiques d'atteindre leurs objectifs. C'est la même stratégie qui est utilisée aujourd'hui pour contrer les cybermenaces en provenance de Russie.
L'un des exemples les plus notables de réussite récente est le travail effectué pour perturber le ransomware Sodinokibi/REvil, que les cyberacteurs ont utilisé pour compromettre l'entreprise mondiale de transformation de la viande JBS et l'entreprise de logiciels Kaseya en 2021. L'année dernière, au cours de plusieurs mois, le FBI a enchaîné les actions stratégiques avec des partenaires étrangers sur trois continents et avec les départements d'État, de la Justice et du Trésor afin de fournir des clefs de décryptage aux victimes, de saisir des recettes en monnaie virtuelle d'un montant supérieur à 7 millions de dollars et d'arrêter trois membres affiliés du groupe.
L'un de ces affiliés, Yaroslav Vasinskyi, a été extradé vers les États-Unis et a comparu pour la première fois devant le tribunal du district nord du Texas au début du mois. Il faut des relations de confiance profondes pour coordonner ces actions et garantir un impact maximal sur les cybercriminels qui sont visés.
L'année dernière, des acteurs étatiques chinois ont exploité une vulnérabilité dans le logiciel Microsoft Exchange Server pour compromettre des milliers d'ordinateurs américains et installer des coquilles web, c'est-à-dire une porte dérobée leur permettant d'entrer et de sortir de ces réseaux à leur guise.
La Chine a tenté d'ouvrir ces portes dérobées, et les équipes du FBI les ont refermées. Le FBI a mis en œuvre une opération innovante, autorisée par un tribunal, pour copier et supprimer ces portes dérobées de centaines d'ordinateurs vulnérables à travers le pays. Ce qui est peut-être le plus important pour le secteur privé, c'est qu’elle a fait cela qu'après avoir rendu publiques les informations sur les compromissions et travaillé avec Microsoft pour contacter directement les propriétaires des serveurs afin de leur donner le temps de résoudre le problème par eux-mêmes. Et, conformément au respect de la vie privée et des libertés civiles, elle a supprimé les serveurs de manière ciblée, sans exposer le contenu des ordinateurs des victimes au FBI.
En septembre, il a été rapporté qu'un certain nombre d'agences de l'armée américaine avaient dépensé des millions pour se procurer un puissant outil de surveillance d'Internet auprès de la société Augury, basée en Floride. Il semble que le FBI ne soit pas la première agence fédérale à en faire l'acquisition. Augury permet aux utilisateurs d'accéder à un grand nombre d'enregistrements du trafic Internet, y compris aux données de messagerie et à l'historique de navigation, entre autres informations.
Il est surprenant de constater que Cymaru entretient également des relations avec Tor, le navigateur Internet le plus connu en matière de protection de la vie privée. Il s'agit d'une relation peu commune par rapport à leurs autres clients. Les utilisateurs de Tor se sont par ailleurs interrogés sur cette relation inhabituelle et sur les liens entre les deux entreprises. Un utilisateur a posté une capture d'écran montrant une recherche DNS du projet Tor avec Team Cymru. Un autre utilisateur a soupçonné que Rabbi Rob Thomas, le PDG de Cymru, était aussi membre du conseil d'administration du projet Tor.
La révélation, en octobre 2022, du contrat passé par l'armée américaine avec Cymru a mis fin à la relation entre Tor et Cymru. Tor a annoncé qu'il mettrait un terme à son partenariat avec le courtier en données. Selon Tor, Cymru était un fournisseur de matériel et d'autres ressources. Les faits de leur partenariat restent flous, notamment en ce qui concerne les activités des deux entreprises. Fernandes a ensuite indiqué que Tor ne jugeait plus nécessaire de continuer à accepter les dons d'infrastructure de la part de Team Cymru.
Envoyé par Tor
Enfin, parlons un peu d'infrastructure. Notre communauté a, à juste titre, soulevé des inquiétudes concernant l'utilisation par le projet Tor de l'infrastructure de l'équipe Cymru. Team Cymru a donné du matériel et des quantités importantes de bande passante à Tor au fil des ans. Il s'agissait principalement de miroirs web et de projets internes tels que des machines de construction et de simulation.
Comme tout le matériel utilisé par le projet Tor, nous ne pouvons pas garantir une sécurité parfaite lorsqu'il y a un accès physique, nous opérons donc à partir d'une position de méfiance et nous nous appuyons sur la reproductibilité cryptographiquement vérifiable de notre code pour assurer la sécurité de nos utilisateurs.
Comme nous le ferions avec des machines hébergées n'importe où, les machines hébergées à Cymru ont été installées proprement en utilisant un cryptage complet du disque. Cela signifie que l'installation chez Team Cymru n'est pas différente de celle de n'importe quel autre fournisseur que nous utiliserions. Le niveau de risque pour nos utilisateurs était donc le même que lorsque nous utilisions d'autres fournisseurs.
Comme tout le matériel utilisé par le projet Tor, nous ne pouvons pas garantir une sécurité parfaite lorsqu'il y a un accès physique, nous opérons donc à partir d'une position de méfiance et nous nous appuyons sur la reproductibilité cryptographiquement vérifiable de notre code pour assurer la sécurité de nos utilisateurs.
Comme nous le ferions avec des machines hébergées n'importe où, les machines hébergées à Cymru ont été installées proprement en utilisant un cryptage complet du disque. Cela signifie que l'installation chez Team Cymru n'est pas différente de celle de n'importe quel autre fournisseur que nous utiliserions. Le niveau de risque pour nos utilisateurs était donc le même que lorsque nous utilisions d'autres fournisseurs.
Team Cymru commercialise explicitement la capacité de son produit à suivre le trafic à travers les réseaux privés virtuels et à montrer de quel serveur le trafic provient. Plusieurs sources ont précédemment indiqué que les données de flux net peuvent être utilisées pour identifier les infrastructures utilisées par les pirates informatiques.
Les produits de Team Cymru peuvent également inclure des données telles que les URL visitées, les cookies et les données PCAP, mais le document du FBI ne précise pas l'accès à l'un ou l'autre de ces types de données. Parallèlement à la couverture par les médias des ventes de netflow, des agences américaines, un dénonciateur a approché l'officier du sénateur Ron Wyden et lui a rapporté l'utilisation présumée sans mandat de ces données par le NCIS, une agence civile d'application de la loi qui fait partie de la Marine.
Le dénonciateur se serait adressé au bureau de Wyden après avoir déposé une plainte dans le cadre de la procédure officielle de signalement auprès du ministère de la Défense. Le NCIS a précédemment déclaré qu'il utilisait les données de Netflow « à diverses fins de contre-espionnage ».
« L'automne dernier, j'ai demandé à l'inspecteur général du ministère de la Justice d'enquêter sur l'achat de métadonnées par le FBI, après qu'un dénonciateur se soit manifesté », a déclaré Wyden à la semaine dernière. En réponse au document du FBI récemment découvert, Wyden a déclaré qu'il « fournit des preuves supplémentaires que le FBI a acheté des métadonnées Internet, qui peuvent révéler les sites Web que les Américains visitent, ainsi que des informations sensibles telles que le médecin qu'une personne consulte, sa religion ou les sites de rencontres qu'elle utilise ».
« Le FBI doit au peuple américain une explication sur les données qu'il a achetées sur les historiques de navigation des Américains sur Internet et une plus grande transparence sur ses activités. Il n'est pas acceptable que le gouvernement contourne les tribunaux en utilisant une carte de crédit pour acheter des informations privées. C'est pourquoi j'ai proposé la loi "Le quatrième amendement n'est pas à vendre" afin d'interdire l'achat de ce type de données privées », ajoute la déclaration.
Le document du FBI concerne un achat de 76 450 dollars de données de flux net en 2017. Le FBI a également acheté des produits à Argonne Ridge Group, la filiale que Team Cymru utilise pour les contrats avec les agences publiques, en 2009, 2011 et 2013. Après que les médias aient rapporté l'achat par l'armée américaine et d'autres données de Team Cymru, le projet Tor, l'organisation derrière le réseau d'anonymat Tor, a déclaré qu'il s'éloignait de l'infrastructure que Team Cymru avait donnée. Le projet Tor a déclaré qu'il s'attendait à ce que cette migration soit achevée au printemps.
Le rôle du conseil d'administration du projet Tor et les conflits d'intérêts
Tout d'abord, un mot sur les conseils d'administration des organisations à but non lucratif. Bien que chaque association à but non lucratif soit unique à sa manière, le but d'un conseil d'administration d'une organisation comme le Projet Tor, avec un personnel et une communauté substantiels, n'est pas de définir la politique quotidienne ou de prendre des décisions d'ingénierie pour l'organisation.
Le rôle principal du conseil est un rôle fiduciaire : s'assurer que Tor respecte ses obligations en vertu de ses statuts et de sa charte, et le pouvoir d'embaucher et de licencier le directeur exécutif. Bien que les membres du personnel puissent consulter les membres du conseil ayant une expertise pertinente sur les décisions stratégiques, et que les membres du conseil soient sélectionnés en partie pour leur expérience dans l'espace, le conseil est séparé de la maintenance et de la prise de décision sur le code de Tor, et un siège au conseil ne s'accompagne d'aucun privilège spécial sur le réseau Tor.
Les membres du conseil peuvent être consultés sur les décisions techniques, mais ils ne les prennent pas. Le personnel et les volontaires du projet Tor s'en chargent. Le projet Tor a également un contrat social que tout le monde à Tor, y compris les membres du conseil d'administration, doit respecter. « Lorsque nous invitons une personne à rejoindre le conseil d'administration, nous considérons l'individu dans son ensemble, son expérience, son expertise, son caractère et ses autres qualités. Nous ne les considérons pas comme des représentants d'une autre organisation. Mais comme les membres du conseil d'administration ont des obligations fiduciaires, ils sont tenus d'accepter une politique en matière de conflits d'intérêts », déclare Tor.
Cette politique définit un conflit comme « ...le signataire a un intérêt économique dans, ou agit en tant que responsable ou directeur de, toute entité extérieure dont les intérêts financiers pourraient raisonnablement être affectés par la relation du signataire avec le Projet Tor. Le signataire doit également divulguer toute affiliation personnelle, professionnelle ou bénévole qui pourrait donner lieu à un conflit d'intérêt réel ou apparent. »
Traitement des conflits d'intérêts
Comme la plupart des procédures de règlement des conflits prévues par la législation américaine, les conflits au sein des organisations à but non lucratif reposent sur l'évaluation par les individus de leurs propres intérêts et de la mesure dans laquelle ils peuvent diverger. Il incombe souvent aux membres du conseil d'administration, qui connaissent l'étendue de leurs obligations, de poser des questions sur les conflits au reste du conseil d'administration ou de se récuser des décisions.
Cela signifie également que les conflits, et les conflits perçus comme tels, évoluent avec le temps. Dans le cas du travail de Rob Thomas avec Team Cymru, le personnel et les bénévoles du projet Tor ont fait part de leurs préoccupations à la fin de l'année 2021, ce qui a donné lieu à des conversations internes. Je crois qu'il est important d'écouter la communauté, et j'ai donc travaillé pour faciliter les discussions et faire émerger des questions que nous pourrions essayer d'aborder.
Au cours de ces conversations, il est devenu clair que bien que Team Cymru puisse offrir des services qui vont à l'encontre de la mission de Tor, il n'y a aucune indication que le rôle de Rob Thomas dans la fourniture de ces services crée un risque direct pour les utilisateurs de Tor, ce qui était notre principale préoccupation. Ce point a également été discuté par le conseil d'administration en mars et le conseil est arrivé à la même conclusion.
Mais bien sûr, ne pas mettre activement en danger nos utilisateurs n'est pas une mince affaire. Il est raisonnable de s'interroger sur la déconnexion inhérente entre le modèle économique de Team Cymru et la mission de Tor qui consiste en un accès privé et anonyme à l'internet pour tous. Les raisons pour lesquelles Rob Thomas a choisi de démissionner du conseil d'administration sont les siennes, mais il est devenu plus clair au cours des mois qui ont suivi notre conversation initiale que le travail de Team Cymru est en contradiction avec la mission du projet Tor.
Le FBI aurait acheté d'autres types de données au secteur commercial. Au début du mois, le directeur du FBI, Christopher Wray, a confirmé lors d'une audition que le FBI avait déjà acheté les données de localisation des smartphones des Américains. Cet achat s'inscrivait dans le cadre d'un projet pilote de sécurité nationale qui n'était plus actif depuis un certain temps, a précisé Wray. « Nous n'achetons pas actuellement d'informations provenant de bases de données commerciales », a déclaré Wray.
La proposition de valeur du FBI en matière de cybernétique
Bien que les cybermenaces soient mondiales, les victimes dans les communautés ont besoin et méritent une réponse rapide et locale. C'est là que le FBI intervient. Avec le soutien du peuple américain, le FBI a énormément investi dans son personnel décentralisé. Le FBI a plus de 800 agents formés à la cybernétique, répartis dans 56 bureaux locaux et plus de 350 antennes, chaque bureau ayant des compétences et des responsabilités importantes en matière de réponse aux menaces, de contre-espionnage, de renseignement intérieur et d'intrusion informatique.
« Nous pouvons envoyer un agent du FBI formé à la cybernétique à presque n'importe quelle porte de ce pays en une heure, et nous pouvons faire de même dans plus de 70 pays en un jour grâce à notre réseau d'attachés juridiques et de cyber-attachés juridiques adjoints. Aucune autre organisation au monde ne dispose d'une telle portée, d'outils et de ressources uniques, ni ne sait ce dont les victimes ont besoin », déclare la cellule de communication du FBI.
Lorsque nous intervenons, nous apportons tout cela avec nous. Le PDG de Kaseya, Fred Voccola, a récemment déclaré : « Lorsque nous avons été touchés, notre cahier des charges prévoyait (heureusement) d'appeler le FBI dès que quelque chose semblait suspect. Et c'est ce que nous avons fait. À ce jour, c'est la meilleure décision que j'ai prise en tant que PDG et que nous avons prise en tant qu'entreprise. »
En plus de ces ressources dispersées dans tout le pays, le FBI dispose au siège d'équipes spécialisées dans l'aide aux victimes de cyberintrusions. Son équipe d'action cybernétique (CAT) est une équipe d'enquête technique d'intervention rapide qui se déploie au niveau national et international pour fournir une assistance technique dans le cadre des intrusions et des incidents cybernétiques les plus complexes.
L’équipe "Recovery Asset Team" (RAT) agit rapidement pour aider les victimes à récupérer des fonds qui auraient autrement été perdus à cause de la fraude. Au cours de l'exercice 2021, l'équipe a utilisé la chaîne de contrôle des fraudes financières (Financial Fraud Kill Chain, FFKC) à 1 726 reprises et a réussi à geler plus de 328 millions de dollars, soit un taux de réussite de 74 %, qui ont pu être restitués aux particuliers et aux entreprises victimes de la cyberfraude.
Les capacités cybernétiques du FBI sont uniques, mais ses rôles et responsabilités sont conçus pour compléter ceux de ses partenaires fédéraux. Que ses agences soient spécialisées dans l'attaque, la défense ou une combinaison des deux, ils contribuent tous à améliorer la résilience et la cybersécurité, et tous leurs efforts doivent fonctionner de manière transparente pour protéger le réseau.
Source : Motherboard
Et vous ?
Quel est votre avis sur le sujet ? Selon vous, est-ce normal qu'une institution comme le FBI se livre à des pratiques d'achat des données Netflow ? Achat légal ou abus de la part du FBI ?Voir aussi :
L'outil de surveillance le plus controversé du FBI est menacé, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance Le FBI vient d'admettre qu'il achetait des données de localisation des Américains, une pratique controversée et jugée profondément problématique par les groupes de défense de la vie privée Le FBI arrête un homme qui aurait projeté de "détruire 70 % d'Internet", dans un attentat à la bombe contre un centre de données d'AWS Le FBI veut renforcer son niveau de surveillance des médias sociaux en collectant plus de données, dont les identifiants et les numéros de téléphone Le directeur du FBI veut avoir un accès aux données chiffrées, pour pouvoir lutter efficacement contre les criminels Les États-Unis piratent les pirates : le FBI démantèle le gang du ransomware Hive et met fin aux activités du gang de rançongiciels et aide 300 victimes 
